Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1358 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange source IP in Firewalllog

H.Inrichs
Hi,

I am using the latest Astaro softwareversion (home license in order to get to know our commercial version in the office better) and try to avoid setting up too many firewall rules.

So last time I was having a closer look into the logs I came over some strange entries which I am not able to identify - help would be appreciated.

I have a wireless lan with some Android phones on it and one phone (I can specifically determine which one via mac-adress) is creating strange firewall-logentries.

My WLAN-network is something like 192.168.1.0 and what I normally see in the logs is something like this: 


2012:05:03-07:37:57 action="accept" srcmac="0:24:..." dstmac="...6:64" srcip="192.168.1.69" dstip="193.45.15.98" proto="6" length="40" tos="0x00" prec="0x00" ttl="63" srcport="56166" dstport="443" tcpflags="RST"


I can either say that source or destinationIP is within my local network.

But from time to time I see entries like that (from this Android phone): 


2012:05:03-07:36:22 action="accept" srcmac="f8:7b:..." dstmac="...6:5a" srcip="10.155.223.24" dstip="173.194.70.188" proto="6" length="75" tos="0x00" prec="0x00" ttl="63" srcport="43674" dstport="5228" tcpflags="ACK PSH"



2012:05:03-07:36:22 action="accept" srcmac="f8:7b:..." dstmac="...6:5a" srcip="10.155.223.24" dstip="173.194.70.188" proto="6" length="52" tos="0x00" prec="0x00" ttl="63" srcport="43674" dstport="5228" tcpflags="ACK FIN"


Code 5228 is apparently some port of the Android Market - which is not suspicious to me. What makes me curious is the source IP "10.155.223.24". The destinationIP 173.194.70.188 belongs to google, according to a quick "googling" ;-) but the 10.155.223.24 is nothing I know within my local network thus strange to me that I can see it in the logfile.

It might be that my knowledge of firewalling is not good enough, but I am a bit concerned right now why this strange IP is showing up. Can anyone give me a hint why this entry is showing up in my logfiles?

Probably something easy, hopefully ;-)

Thanks in advance!


This thread was automatically locked due to age.
Parents
  • 0
    Many cell providers use NAT internally and give only private IP addresses to connected cell phones. If you have a rooted Android phone, you can easily verify this with an ifconfig in the terminal.
    My guess is that those phones somehow lose cell connectivity and try to access Google via the remaining (WLAN) gateway, but with the wrong source IP.
Reply
  • 0
    Many cell providers use NAT internally and give only private IP addresses to connected cell phones. If you have a rooted Android phone, you can easily verify this with an ifconfig in the terminal.
    My guess is that those phones somehow lose cell connectivity and try to access Google via the remaining (WLAN) gateway, but with the wrong source IP.
Children
  • 0 in reply to ChrisH1
    Hmm okay, that might be a fact, but strange enough that this happens rather often. Not that I am looking for some kind of conspiracy here, just found it a strange behaviour ;-)

    But thanks for your help, I'll keep on checking the logs. Unfortunately this cell phone is not rooted and I guess I won't have a chance to (it's my girlfriends, I think she won't like me to mess it up ;-) ).


    Well, thanks for your help!